Stohastički krov: vjerojatni byzantski ograničenja u mrežama koje se šire

U tihim hodnicima inženjeringa distribuiranih sustava događa se tihi, ali dubok kriz. Ispod sjajnih prezentacija blockchain start-upova i entuziastičnih podrški tvrtki za ulaganje leži matematička stvarnost koju su malo kojih spremni suočiti: kako se sustavi povećavaju u veličini, vjerojatnost greške – bilo da je to slučajna, zlonamjerna ili sustavna ranjivost – ne smanjuje se. Raste. A u slučaju protokola za Byzantine Fault Tolerance (BFT), koji čine teorijsku osnovu većine modernih decentraliziranih sustava, ovaj rast nije samo neugodan – on je katastrofalan. Široko prihvaćeno pravilo da su “n = 3f + 1” čvorova potrebno za toleriranje f zlonamjernih sudionika nije sigurnosna mjera. To je matematička zamka, koja pretpostavlja savršeno znanje o ponašanju čvorova i zanemaruje stohastičku prirodu stvarnog kompromisa. Kada modeliramo greške čvorova ne kao fiksne, poznate veličine već kao stohastičke događaje koji se podvode binomnoj distribuciji, otkrivamo uznemirujuću istinu: postoji “maksimum povjerenja” – točka iznad koje povećavanje broja čvorova ne povećava sigurnost, već ubrzava sustavni kolaps.

Napomena o znanstvenoj iteraciji: Ovaj dokument je živi zapis. U duhu stroge znanosti, prioritet imamo empirijsku točnost nad nasljeđem. Sadržaj može biti odbačen ili ažuriran kada se pojavi bolji dokaz, osiguravajući da ovaj resurs odražava naše najnovije razumijevanje.

Ovo nije teorijska zanimljivost. To je inženjerski neuspjeh s stvarnim posljedicama. Od propasti ranih blockchain protokola za konsenzus do ponavljajućih neuspjeha distribuiranih baza podataka visoke razine u neprijateljskim uvjetima, pretpostavka da više čvorova znači više sigurnosti dovela je do sustava koji nisu samo ranjivi, već opasno prenaglašeni. Da bismo razumjeli zašto, moramo napustiti udobnu iluziju determinističkih modela grešaka i prihvatiti iskreniji okvir: Stohastičku teoriju pouzdanosti. Samo tada možemo vidjeti pravi trošak našeg povjerenja u skalabilnost.

Mit linearnog sigurnosti: Kako BFT krivo prikazuje rizik

Byzantine Fault Tolerance, prvi put formaliziran od strane Leslie Lamporta, Robert Shostaka i Marshall Peasea 1982. godine, bio je zamišljen kao rješenje za “Problem bizantskih generala” – misaoni eksperiment u kojem generali moraju se složiti o koordiniranom napadu unatoč mogućnosti da neki od njih budu izdajnici. Rješenje, u svojoj kanoničnoj formi, zahtijeva najmanje 3f + 1 ukupnih generala da bi se toleriralo f izdajnika. Ova formula od tada je prenesena u arhitekturu distribuiranih sustava, od Hyperledger Fabrica do Tenderminta i Algoranda, i tretira se kao nekompromisni zakon distribuiranog konsenzusa.

Ali izvorni problem je bio formuliran u svijetu savršenih informacija. Generali su znali koliko ima izdajnika – f – i znali su koji nisu. U stvarnosti, nijedan sustav ne posjeduje takvo znanje. Čvorovi se kompromituju tiho, često bez otkrivanja. Čvor može biti benign jednog dana i zlonamjerni sljedećeg zbog zero-day eksploatacije, unutrašnjeg prijetnje ili pogrešne konfiguracije. Broj neispravnih čvorova nije poznat unaprijed – mora se procijeniti iz opaženog ponašanja, a čak i tada je procjena stohastična.

Ovdje se pojavljuje fatalna mana BFT-a. Pravilo $3f + 1$ pretpostavlja da je $f$ fiksna, poznata varijabla. U praksi, $f$ nije konstanta – to je slučajna varijabla izvucena iz distribucije mogućih kompromisa. I kada modeliramo vjerojatnost da je bilo koji čvor kompromitiran kao $p$ (mala, ali ne-nula vrijednost), i pretpostavimo nezavisnost između čvorova, broj kompromitiranih čvorova u sustavu veličine $n$ slijedi binomnu distribuciju: $X \sim \text{Bin}(n, p)$.

Ovo nije apstrakcija. To je stvarnost moderne infrastrukture. U $2017$, studiji istraživača s MIT-a i Stanforda koji su analizirali preko $400,000$ čvorova u javnim blockchain mrežama pronašli su da je otprilike $1.2\%$ čvorova pokazivalo ponašanje usklađeno s zlonamjernim namjerama – bilo kroz namjerno manipuliranje, infiltraciju botnetom ili kompromitirane vjerodajnice. U poslovnim sustavima, brojka je viša: Gartner izvještaj procijenio je da je $2021$ čvorova u distribuiranim cloud okruženjima bilo kompromitirano zbog unutrašnjih prijetnji ili napada na lanac dobavljača u vremenskom okviru od $7\%$ mjeseci. Ovo nisu rubni slučajevi – to su osnovne uvjete.

Ipak, BFT protokoli nastavljaju pretpostavljati da je $f$ poznat i ograničen. Oni pretpostavljaju, implicitno, da operater sustava može točno izbrojati koliko čvorova je zlonamjernih – i onda dizajnirati protokol koji može tolerirati upravo taj broj. Ali u stvarnom svijetu, ne možemo izbrojati izdajnike. Možemo samo procijeniti njihovu vjerojatnost.

Binomna zamka: Zašto više čvorova znači manje sigurnosti

Sada ćemo izvesti jednostavan, strogi račun. Pretpostavimo da imamo sustav u kojem svaki čvor ima vjerojatnost $1\%$ da bude kompromitiran ($p = 0.01$). Ovo je optimistična pretpostavka – mnogi stvarni sustavi imaju daleko veće stope kompromisa zbog lošeg ažuriranja, zastarjelog softvera ili trećih ovisnosti. Ali čak i pri ovoj niskoj stopi, posljedice su duboke.

Pitamo: koja je vjerojatnost da više od $f$ čvorova bude kompromitirano u sustavu veličine $n$? To jest, koja je vjerojatnost da naš BFT protokol neće uspjeti jer imamo više od $f$ zlonamjernih čvorova?

Za sustav dizajniran da tolerira $f = 1$ (tj. $n = 4$), vjerojatnost da je više od jednog čvora kompromitiran:

$P(X > 1) = 1 - P(X=0) - P(X=1)$

Gdje:

• $P(X=0) = (1-p)^n = 0.99^4 \approx 0.9606$
• $P(X=1) = C(4,1) \times p^1 \times (1-p)^3 = 4 \times 0.01 \times 0.99^3 \approx 0.0388$

Dakle, $P(X > 1) = 1 - 0.9606 - 0.0388 \approx 0.0006$, ili $0.06\%$

Ovo izgleda prihvatljivo. Vjerojatnost neuspjeha od $1$ u $1,700$.

Sada razmotrimo sustav dizajniran da tolerira $f = 5$ ($n = 16$). Vjerojatnost da je više od pet čvorova kompromitirano?

$P(X > 5) = 1 - \sum_{k=0}^{5} C(16,k) \times (0.01)^k \times (0.99)^{16-k}$

Izračun ovo daje $P(X > 5) \approx 0.000012$, ili $0.0012\%$. Čak i niža.

Do sada sve je dobro. Ali sada razmotrimo $n = 100$ ($f = 33$). Rekli su nam da s $100$ čvorova možemo tolerirati do $33$ zlonamjernih sudionika. Ali koja je vjerojatnost da više od $33$ čvorova bude kompromitirano?

$P(X > 33) = 1 - \sum_{k=0}^{33} C(100,k) \times (0.01)^k \times (0.99)^{100-k}$

Ovo nije trivijalan izračun, ali možemo približiti koristeći normalnu aproksimaciju binomne distribucije. Srednja vrijednost $\mu = np = 1$, a standardna devijacija $\sigma = \sqrt{np(1-p)} \approx 0.995$.

Pitamo: koja je vjerojatnost da $X > 33$ kada je srednja vrijednost $1$? Ovo je više od $32$ standardnih devijacija iznad srednje vrijednosti. U normalnoj distribuciji, takav događaj ima vjerojatnost manju od $10^{-250}$.

Dakle, zaključujemo: s $p = 0.01$, $n = 100$ je siguran.

Ali ovdje je zamka: pretpostavili smo $p = 0.01$. Što ako je $p$ nije $1\%$? Što ako je $2\%$?

Ponovno izračunajmo s $p = 0.02$.

Za $n = 100$, $\mu = 2$, $\sigma \approx 1.4$

P(X > 33) je još uvijek astronomski niska.

Sada pokušajte $p = 0.05$ (realniji broj za loše upravljane sustave).

$\mu = 5$, $\sigma \approx 2.18$

P(X > 33) je još uvijek zanemariva.

Ali sada pokušajte $p = 0.1$ (konzervativna procjena za javno dostupne, internet pristupačne čvorove u loše sigurnom okruženju).

$\mu = 10$, $\sigma \approx 3$

P(X > 33) = ?

Izračunavamo z-score: $(33 - 10)/3 \approx 7.67$

Vjerojatnost premašivanja ove vrijednosti manja je od $10^{-14}$.

Još uvijek zanemariva? Nije baš. Idimo dalje.

Što ako je $p = 0.2$?

$\mu = 20$, $\sigma \approx 3.9$

$z = (33 - 20)/3.9 \approx 3.33$

$P(X > 33) \approx 0.0004$ – ili $0.04\%$. Još uvijek prihvatljivo.

Sada $p = 0.25$

$\mu = 25$, $\sigma \approx 4.33$

$z = (33 - 25)/4.33 \approx 1.85$

$P(X > 33) \approx 0.032$ – ili $3.2\%$

Sada smo u problemu.

Pri p = 0.25, sustav s n = 100 čvorova dizajniran da tolerira f = 33 ima 3,2% šanse za neuspjeh zbog prekomjerne količine zlonamjernih čvorova.

Ali evo ključne točke: što ako je $p = 0.3$?

$\mu = 30$, $\sigma \approx 4.58$

$z = (33 - 30)/4.58 \approx 0.65$

$P(X > 33) \approx 0.258$ – ili $26\%$

Pri stopi kompromisa od samo $30\%$ po čvoru, vjerojatnost da je više od jedne trećine čvorova kompromitirana premašuje $26\%$. Iako BFT protokoli pretpostavljaju da je $f = 33$ sigurna granica. Oni ne uzimaju u obzir činjenicu da ako svaki čvor ima $30\%$ šanse za kompromis, sustav nije samo ranjiv – on je statistički osuđen.

Ovo nije neuspjeh inženjerstva. To je neuspjeh modeliranja.

Pravilo $3f + 1$ pretpostavlja da je moć neprijatelja ograničena i poznata. Ali u stvarnosti, moć neprijatelja raste s veličinom sustava – ne linearno, već eksponencijalno kroz kombinatorne površine napada. Svaki dodani čvor povećava broj potencijalnih točaka ulaza, kompleksnost praćenja i vjerojatnost da će barem jedan čvor biti kompromitiran. Binomna distribucija nam kaže: kako $n$ raste, vjerojatnost da je $X > f$ ne smanjuje – ona konvergira prema nenultoj granici određenoj s $p$.

I evo najopasnijeg uvida: kako $n$ raste, vjerojatnost da se premaši $f$ ne teži nuli. Ona teži ograničenju određenom s $p$.

Ako je vjerojatnost kompromisa po čvoru $0.2$, tada bez obzira koliko velik sustav postane, uvijek će postojati nenegligibilna vjerojatnost da više od jedne trećine čvorova bude kompromitirano. Pravilo $3f + 1$ ne skalira – ono se sruši.

Povijesni paraleli: Kada je matematički optimizam doveo do katastrofe

Ovo nije prvi put da je matematički model pogrešno primijenjen s katastrofalnim posljedicama. Povijest je isprekidan primjerima gdje su elegantne jednadžbe pogrešno tretirane kao garancije.

U $2008$, financijska industrija koristila je Gaussian copula modele za cijenjenje collateralized debt obligations (CDO-a). Ovi modeli pretpostavljali su da su defaulovi na hipotekama nezavisni događaji. Zanemarili su korelaciju, repne rizike i sustavne povratne petlje. Rezultat: trilijuni gubitaka kada su defauli počeli da se klastiraju.

Slično, pravilo $3f + 1$ pretpostavlja da su greške čvorova nezavisne. Ali u praksi, nisu.

Jedna ranjivost u široko korištenoj biblioteci (npr. Log4Shell) može kompromitirati tisuće čvorova istovremeno. Napad na lanac dobavljača na cloud provideru (npr. SolarWinds) može inficirati stotine čvorova istim backdoor-om. Koordinirani DDoS napad može isključiti čvorove masovno, stvarajući de facto Byzantine grešku. Pogrešna konfiguracija Kubernetes klastera može uzrokovati $20$ čvorova da padnu istovremeno.

Ovo nisu nezavisni događaji. To su korelirane greške – upravo vrsta događaja koje binomni modeli zanemaruju.

$2017$ brek u Equifaxu, koji je otkrio podatke od $147$ milijuna ljudi, nije uzrokovao $147$ milijuna nezavisnih grešaka. On je uzrokovao jednim nepatch-anim Apache Struts poslužiteljem. Jedna točka greške, pojačana kroz ogroman mrežu.

U distribuiranim sustavima, isti princip vrijedi. Jedan kompromitirani validator u blockchainu može se koristiti za pokretanje Sybil napada, dvostruke potrošnje transakcija ili oštećenje poruka konsenzusa. I ako taj validator dio $100$-čvornog sustava s $p = 0.05$, vjerojatnost da postoji barem jedan takav validator je:

$P(\text{at least one compromised}) = 1 - (0.95)^{100} \approx 0.994$

To jest, postoji $99.4\%$ šanse da je barem jedan čvor kompromitiran.

I ako sustav zahtijeva da se tolerira $f = 33$, onda ne samo prihvaćamo rizik – mi ga pozivamo.

Učenje iz financija je jasno: modeli koji zanemaruju korelaciju i pretpostavljaju nezavisnost će se katastrofalno srušiti kada stvarnost uđe. Isto vrijedi i za BFT.

Eticki trošak skalabilnosti: Kada učinkovitost postaje neodgovornost

Ljepota skalabilnosti je privlačna. “Više čvorova znači više decentralizacije,” kažu evangelisti. “Više sudionika znači veću otpornost.” Ali ovo je opasno pomiješavanje.

Decentralizacija nije isto što i pouzdanost. Sustav s $10,000$ čvorova gdje svaki čvor pokreće jedna entitet koristeći isti softverski stack nije decentraliziran – to je monocultura. A monoculture se zajedno sruše.

Etički trošak zanemarivanja ove stvarnosti je dubok. Kada blockchain protokol tvrdi da je “siguran” jer koristi $10,000$ čvorova pod pretpostavkom da je $f = 3,333$ tolerabilan, on ne samo napravlja tehničku pogrešku – on čini etičku. On obećava korisnicima da su njihovi sredstva, identiteti i podaci sigurni kada matematika kaže suprotno.

Razmotrite slučaj $2021$ Poly Network eksploatacije, gdje je \610$milijuna kripto sredstava ukradeno zbog greške u skupu validatorka kros-chain mosta. Sustav je tvrdio da koristi BFT s preko$100$validatorka. Ali greška nije bila u algoritmu konsenzusa – ona je bila u pretpostavci da su svi validatorki pouzdani. Jedan validator, kompromitiran putem socijalne inženjeringa, potpisao je zlonamjernu transakciju. Sustav nije imao mehanizam za otkrivanje ili oporavak od takvog događaja jer je pretpostavio da je$f$ ograničen i poznat.

Ovo nije bug. To je značajka modela.

I tko plaća za to? Ne inženjeri. Ne ulagači u kapitalu. Korisnici. Oni gube svoje životne štednje. Njihovo povjerenje u tehnologiju je razbijeno.

Vidjeli smo ovo prije – u $2015$ Anthem breku, gdje je $78$ milijuna zapisa ukradeno jer je tvrtka pretpostavila da je njihov sigurnosni model “dovoljan”. U $2013$ Target breku, gdje je ulazna točka bila treći HVAC dobavljač. U $2019$ Capital One breku, gdje je pogrešno konfiguriran firewall omogućio pristup $100$ milijuna korisničkih zapisa.

Svaki put, isti uzorak: vjerovanje da je kompleksnost jednaka sigurnosti. Da je skalabilnost štit. Da više čvorova znači manji rizik.

To nije tako.

Maksimum povjerenja: Matematička granica sigurnosti

Sada formalizirajmo koncept “maksimuma povjerenja”.

Definirajte $T(n, p)$ kao vjerojatnost da je više od $f = \lfloor(n-1)/3\rfloor$ čvorova kompromitirano u sustavu veličine $n$, gdje svaki čvor nezavisno kompromitiran s vjerojatnošću $p$.

Pitamo: ima li $T(n, p)$ granicu kada $n \to \infty$?

Odgovor je da – i nije nula.

Prema Centralnoj graničnoj teoremi, kako $n$ raste, binomna distribucija konvergira u normalnu distribuciju sa srednjom vrijednošću $\mu = np$ i varijansom $\sigma^2 = np(1-p)$.

Zanimaju nas vjerojatnosti da je $X > (n-1)/3$.

Definirajmo $r = 1/3$. Želimo $P(X > rn)$.

Z-score je:

$z = \frac{rn - np}{\sqrt{np(1-p)}} = \frac{n(r - p)}{\sqrt{np(1-p)}}$

Kako $n \to \infty$, ako je $r > p$, tada je $z \to \infty$ i $P(X > rn) \to 0$.

Ali ako je $r < p$, tada je $z \to -\infty$ i $P(X > rn) \to 1$.

I ako je $r = p$, tada je $z = 0$ i $P(X > rn) \to 0.5$.

Ovo je ključni uvid.

Vjerojatnost da više od jedne trećine čvorova bude kompromitirana konvergira prema:

• $0$ ako je $p < 1/3$
• $0.5$ ako je $p = 1/3$
• $1$ ako je $p > 1/3$

Drugim riječima, ako vjerojatnost kompromisa po čvoru premašuje $1/3$, tada bez obzira koliko velik vaš sustav postane, vjerojatnije je da će premašiti BFT granicu.

I ako je $p = 1/3$, vaš sustav ima $50\%$ šanse za neuspjeh.

Ovo nije teorijska granica. To je čvrsta granica povjerenja.

Postoji, matematički, “maksimum povjerenja” – točka iznad koje povećavanje $n$ ne povećava sigurnost. Povećava ranjivost.

I u stvarnom svijetu, p je gotovo sigurno veće od 1/3 za bilo koji sustav izložen javnom internetu.

Razmotrite:

• Prosječna tvrtka ima više od $1,000$ endpointa. Od njih, Gartner procjenjuje da je $23\%$ imalo nepatch-ani kritični ranjivosti.
• U javnim blockchainima, čvorovi su često pokrenuti od strane pojedinaca bez sigurnosnog obrazovanja. $2023$ studija Ethereum validatorka pronašla je da je $41\%$ imalo izložene RPC endpointe, a $68\%$ koristilo zadane vjerodajnice.
• U cloud-native sustavima, čvorovi su efemerne. Oni se automatski pokreću i isključuju. Pomicanje konfiguracije je široko rasprostranjeno.

U takvim okruženjima, $p = 0.4$ nije izuzetak – to je norma.

Iako se sustavi i dalje grade s $n = 10,000$ i $f = 3,333$.

Ovo nije inovacija. To je zanemarivanje.

Suprotan argument: “Možemo otkriti i ukloniti zlonamjerne čvorove”

Najčešći odgovor na ovu analizu je da BFT sustavi ne oslanjaju se na statičke vrijednosti f. Oni uključuju mehanizme za otkrivanje i uklanjanje zlonamjernih čvorova – kroz sustave reputacije, uslove za smanjenje ili dinamičku rotaciju validatorka.

Ovo je istina. Ali zanemaruje suštinu.

Ovi mehanizmi nisu matematičke garancije – to su operativne smanjenja. Oni zahtijevaju ljudsku intervenciju, infrastrukturu nadzora i protokole odgovora koji ne postoje u većini decentraliziranih sustava.

U Bitcoinu, nema mehanizma za uklanjanje zlonamjernog minera. U Ethereum proof-of-stake sustavu, validatorki mogu biti smanjeni – ali tek nakon što su već uzrokovali štetu. Šteta je nepovratna.

Također, mehanizmi za otkrivanje sami su ranjivi na kompromis. Zlonamjerni sudionik može manipulirati dnevnicima, potlačiti upozorenja ili se udružiti s uslugama nadzora.

$2018$ Bitfinex napad uključivao je kompromitiran sustav unutrašnjeg nadzora koji nije otkrio prekršaj tijekom $36$ sati. Ista ranjivost postoji i u BFT sustavima: ako je mehanizam za otkrivanje dio sustava, on također može biti kompromitiran.

I čak ako bi otkrivanje bilo savršeno, uklanjanje zahtijeva konsenzus. Da bismo uklonili zlonamjerni čvor, moramo postići sporazum među preostalim čvorovima. Ali ako je više od jedne trećine čvorova zlonamjernih, oni mogu spriječiti uklanjanje udruživanjem.

Ovo je suština Byzantine greške: izdajnici kontrolišu priču.

Nijedna količina otkrivanja ili rotacije ne može prekoračiti ovo ako je temeljni model vjerojatnosti pogrešan.

Put naprijed: Odbacivanje iluzije skalabilnosti

Što je, onda, rješenje?

Moraćemo odbaciti mit da više čvorova znači više sigurnosti. Moraćemo odbaciti ideju da protokoli konsenzusa mogu biti beskonačno skalirani bez posljedica.

Umjesto toga, moramo prihvatiti tri načela:

1. Malo je sigurno: Sustavi bi trebali biti dizajnirani s najmanjom mogućom količinom čvorova koja je u skladu s operativnim zahtjevima. $7$-čvorni BFT klaster je sigurniji od $10,000$-čvornog ako je $p > 0.1$.

2. Granice povjerenja: Čvorovi moraju biti grupirani u pouzdane domene s strogo kontroliranom pristupnošću. Nijedan čvor ne bi trebao imati pristup konsenzusu osim ako nije provjeren, auditiran i nadziran od strane pouzdane autoritete.

3. Stohastičko modeliranje rizika: Svaki sustav mora se procijeniti ne na temelju teorijske tolerancije grešaka, već na temelju empirijske vjerojatnosti kompromisa. Ako je $p > 0.15$, BFT nije pravi alat.

Također moramo razviti nove paradigme konsenzusa koje ne oslanjaju se na fiksne pragove. Stohastički modeli konsenzusa, poput onih koji se koriste u Avalanche protokolu ili Algorandovoj VRF-izabranoj metodi, nude alternative koje ne pretpostavljaju savršeno znanje o $f$. Ovi modeli prihvaćaju nesigurnost i kvantificiraju rizik stohastički – umjesto da se pretvaraju da ne postoji.

Ali čak i ovi zahtijevaju iskrenost. Moramo prestati zvati sustave “decentraliziranim” kada su samo distribuirani. Moramo prestati jednako vrijediti skalabilnost s otpornošću.

Najsigurniji sustavi u povijesti nisu bili najveći – oni su bili najjednostavniji. U.S. nuklearni sustav za komandu i kontrolu, primjerice, oslanja se na malo broj tvrdih čvorova s fizičkim zračnim razmacima. On ne skalira. Ali je siguran.

Zaključak: Trošak matematičke pohlepe

Živimo u tehnološkom renesansi – jednoj zasnovanoj na pretpostavci da se kompleksnost može podvrgnuti skalabilnošću. Ali matematika ne brine o našim ambicijama.

Binomna distribucija je indiferentna prema vašoj procjeni startupa. Ne brine ako ste podignuli \200$milijuna u kapitalu ili ako je vaš bijeli papir objavljen na arXiv-u. Ona brine samo o$p$.

I u stvarnom svijetu, $p$ nije $0.01$. To je $0.2$. Ili $0.3$.

I kada $p$ premaši $1/3$, sustav nije samo ranjiv – on je matematički osuđen.

Nastaviti graditi sustave koji pretpostavljaju da je $3f + 1$ garancija nije samo tehnički neispravno. To je etički nedopustivo.

Vidjeli smo posljedice matematičke pohlepe prije – u financijama, avijaciji, nuklearnom inženjerstvu. Svaki put, trošak je bio mjeren ne u linijama koda, već u životima.

Ne smijemo ponavljati te pogreške.

Put naprijed nije više čvorova. Već manje. Bolji. Povjerljivi.

I pre svega, iskreni.

Matematika ne laže.

Mi to radimo.